Guia de Gestion de Servicios en Iso 20000

GUÍA DE GESTION DE SERVICIOS EN ISO/IEC 20000 Y RELACIÓN ENTRE CMMI E

ITIL

Laboratorio Nacional de Calidad del Software

Marzo 2010

Guía de Gestión de Servicios en ISO/IEC 20000 y Relación entre CMMI e ITIL 2

El Instituto Nacional de Tecnologías de la Comunicación, S.A. (INTECO), es una sociedad estatal adscrita al Ministerio de Industria, Turismo y Comercio a través de la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información.

INTECO tiene la vocación de ser un centro de desarrollo de carácter innovador y de interés público a nivel nacional que constituye una iniciativa enriquecedora y difusora de las nuevas tecnologías en España en clara sintonía con Europa.

Su objetivo fundamental es servir como instrumento para desarrollar la Sociedad de la Información, con actividades propias en el ámbito de la innovación y el desarrollo de proyectos asociados a las Tecnologías de la Información y la Comunicación (TIC), basándose en tres pilares fundamentales: la investigación aplicada, la prestación de servicios y la formación.

La misión de INTECO es aportar valor e innovación a los ciudadanos, a las PYMES, a las Administraciones Públicas y al sector de las tecnologías de la información, a través del desarrollo de proyectos que contribuyan a reforzar la confianza en los servicios de la Sociedad de la Información en nuestro país, promoviendo además una línea de participación internacional.

Para ello, INTECO desarrolla actuaciones en las siguientes líneas:

Seguridad Tecnológica: INTECO está comprometido con la promoción de servicios de la Sociedad de la Información cada vez más seguros, que protejan los datos personales de los interesados, su intimidad, la integridad de su información y eviten ataques que pongan en riesgo los servicios prestados. Y por supuesto que garanticen un cumplimiento estricto de la normativa legal en materia de TIC. Para ello coordina distintas iniciativas públicas en torno a la seguridad de las TIC, que se materializan en la prestación de servicios por parte del Observatorio de la Seguridad de la Información, el Centro Demostrador de Tecnologías de Seguridad, el Centro de Respuesta a Incidentes de Seguridad en Tecnologías de la Información (INTECO-CERT) y la Oficina de Seguridad del Internauta (OSI), de los que se benefician ciudadanos, PYMES, Administraciones Públicas y el sector tecnológico.

Accesibilidad: INTECO promueve servicios de la Sociedad de la Información más accesibles, que supriman las barreras de exclusión, cualquiera que sea la dificultad o carencia técnica, formativa, etc., incluso discapacidad, que tengan sus usuarios. Y que faciliten la integración progresiva de todos los colectivos de usuarios, de modo que todos ellos puedan beneficiarse de las oportunidades que ofrece la Sociedad de la Información. Asimismo desarrolla proyectos en el ámbito de la accesibilidad orientados a garantizar el derecho de ciudadanos y empresas a relacionarse electrónicamente con las AA.PP.

Calidad TIC. INTECO promueve unos servicios de la Sociedad de la Información que cada vez sean de mayor calidad, que garanticen unos adecuados niveles de servicio, lo cual se traduce en una mayor robustez de aplicaciones y sistemas, un compromiso en la disponibilidad y los tiempos de respuesta, un adecuado soporte para los usuarios, una


información precisa y clara sobre la evolución de las funcionalidades de los servicios, y en resumen, servicios cada vez mejores. En esta línea impulsa la competitividad de la industria del Software a través de la promoción de la mejora de la calidad y la certificación de las empresas y profesionales de la ingeniería del software.

Formación: la formación es un factor determinante para la atracción de talento y para la mejora de la competitividad de las empresas. Por ello, INTECO impulsa la formación de universitarios y profesionales en las tecnologías más demandadas por la industria.


NOTA DE EDICIÓN

Esta guía ha sido desarrollada por el Laboratorio Nacional de Calidad del Software de INTECO. Esta primera versión ha sido editada en Marzo del 2010.

Copyright © 2009 Instituto Nacional de Tecnologías de la comunicación (INTECO)

El presente documento está bajo la licencia Creative Commons Reconocimiento-No comercial-Compartir Igual versión 2.5 España. Usted es libre de: - copiar, distribuir y comunicar públicamente la obra - hacer obras derivadas Bajo las condiciones siguientes: - Reconocimiento. Debe reconocer los créditos de la obra de la manera especificada por el autor o el licenciador

(pero no de una manera que sugiera que tiene su apoyo o apoyan el uso que hace de su obra). - No comercial. No puede utilizar esta obra para fines comerciales. - Compartir bajo la misma licencia. Si altera o transforma esta obra, o genera una obra derivada, sólo puede

distribuir la obra generada bajo una licencia idéntica a ésta. Al reutilizar o distribuir la obra, tiene que dejar bien claro los términos de la licencia de esta obra. Alguna de estas condiciones puede no aplicarse si se obtiene el permiso del titular de los derechos de autor Nada en esta licencia menoscaba o restringe los derechos morales del autor. Esto es un resumen legible por humanos del texto legal (la licencia completa) disponible en http://creativecommons.org/licenses/by-nc-sa/2.5/es/ El presente documento cumple con las condiciones de accesibilidad del formato PDF (Portable Document Format). Se trata de un documento estructurado y etiquetado, provisto de alternativas a todo elemento no textual, marcado de idioma y orden de lectura adecuado.

Para ampliar información sobre la construcción de documentos PDF accesibles puede consultar la guía disponible en la sección Accesibilidad > Formación > Manuales y Guías de la página http://www.inteco.es.

http://creativecommons.org/licenses/by-nc-sa/2.5/es/�

http://www.inteco.es/Accesibilidad/Formacion_6/Manuales_y_Guias�

http://www.inteco.es/�


AVISO LEGAL - Las distintas normas ISO mencionadas han sido desarrolladas por la International

Organization for Standardization.

- ITIL® (Information Technology Infrastructure Library es una marca registrada de la OGC, Office of Government Commerce (Oficina de comercio gubernamental), que es una división del Ministerio de Hacienda del Reino Unido.

- CMMI® es una marca registrada en la Oficina de Marcas y Patentes de EEUU por la Universidad Carnegie Mellon.

Todas las demás marcas registradas que se mencionan, usan o citan en la presente guía son propiedad de los respectivos titulares.

INTECO cita estas marcas porque se consideran referentes en los temas que se tratan, buscando únicamente fines puramente divulgativos. En ningún momento INTECO busca con su mención el uso interesado de estas marcas ni manifestar cualquier participación y/o autoría de las mismas.

Nada de lo contenido en este documento debe ser entendido como concesión, por implicación o de otra forma, y cualquier licencia o derecho para las Marcas Registradas deben tener una autorización escrita de los terceros propietarios de la marca.

Por otro lado, INTECO renuncia expresamente a asumir cualquier responsabilidad relacionada con la publicación de las Marcas Registradas en este documento en cuanto al uso de ninguna en particular y se eximen de la responsabilidad de la utilización de dichas Marcas por terceros.

El carácter de todas las guías editadas por INTECO es únicamente formativo, buscando en todo momento facilitar a los lectores la comprensión, adaptación y divulgación de las disciplinas, metodologías, estándares y normas presentes en el ámbito de la calidad del software.


ÍNDICE

1. INTRODUCCIÓN 9

2. CERTIFICACIÓN EN ISO/IEC 20000 10

2.1. Preparación previa 102.1.1. Esquema de certificación 102.1.2. Esquema de cualificación 112.1.3. Preparación para la certificación 12

2.2. Implementación de la norma 142.2.1. Generar evidencias: documentos y registros 152.2.2. Plan de Mejora del Servicio 152.2.3. Gestión del cambio organizacional 16

2.3. Certificación: validez y renovación 172.3.1. Auditoría formal de certificación 172.3.2. Validez y renovación 19

3. ISO/IEC 20000 E ITIL V2 21

3.1. Diferencia entre norma y mejores prácticas 21

3.2. Aportaciones de ISO/IEC 20000 a ITIL 22

4. RELACIÓN ENTRE ITIL Y CMMI 24

4.1. Ámbitos de aplicación 24

4.2. Puntos de contacto 26

5. GLOSARIO 28

6. ACRÓNIMOS 30

7. REFERENCIAS 31


ÍNDICE DE FIGURAS

Figura 1. Preparación para la certificación............................................................................13

Figura 2. Fases de una auditoría formal de certificación .......................................................18

Figura 3. Ciclo típico de certificación y renovación ...............................................................20

Figura 4. Ciclo de vida del servicio ITIL ................................................................................25


ÍNDICE DE TABLAS

Tabla 1. Ejemplos de Entidades de Acreditación y Certificación ...........................................11


1. INTRODUCCIÓN

Esta guía constituye un material de divulgación del estándar ISO/IEC 20000, así como de la relación con ITIL en el contexto de la gestión de servicios y de esta última con CMMI.

La información recogida en esta guía puede servir como material complementario a los proveedores de servicios de TI que se estén planteando la implementación de la norma ISO/IEC 20000-1.

En la primera parte se presenta el escenario de certificación en ISO/IEC 20000 de un proveedor de servicios de TI, desde la preparación previa, pasando por la implementación de la norma con vistas a la certificación, la obtención de la misma y, una vez obtenida, su validez y renovación.

En la segunda parte se profundiza en la relación entre ISO/IEC 20000 e ITIL v2 y las aportaciones del estándar a la librería de mejores prácticas, recogidas en su versión 3.

Finalmente, en la tercera parte se recoge la relación entre ITIL y CMMI, y su posible aplicación para establecer puntos de contacto entre los procesos propuestos por uno y otro.


2. CERTIFICACIÓN EN ISO/IEC 20000

Una vez que un proveedor de servicios de TI ha decidido obtener la certificación en ISO/IEC 20000-1, deberá seguir una serie de pasos para lograr su objetivo.

Para empezar, el proveedor de servicios debe elegir un esquema de certificación y una entidad certificadora registrada que, tras realizar la correspondiente auditoría, emita este certificado.

El siguiente paso es implementar las mejoras necesarias en su SGSTI para cumplir con los requerimientos de la norma. Siendo el objetivo final la certificación, conviene tener en cuenta en esta fase que, entre otras cosas, en la auditoría final se solicitarán evidencias del cumplimiento con los requerimientos.

Finalmente, la certificación efectiva se consigue a través de la auditoría en sí. Una vez conseguida la certificación, y dependiendo del esquema elegido, ésta tiene un plazo de validez determinado. Una vez agotado el plazo, el proveedor deberá revalidar su certificación.

2.1. PREPARACIÓN PREVIA

Obtener una certificación ISO/IEC 20000-1, independientemente del esquema elegido, es una tarea que va a requerir, con casi total seguridad, un esfuerzo importante por parte de la organización objeto de la misma.

Por este motivo, es importante que el proveedor de servicios que busque la certificación se prepare adecuadamente para conseguirla.

Seguir estas recomendaciones previas ayudará a asegurar que los pasos se dan en la dirección correcta, y que los esfuerzos dedicados obtienen finalmente el resultado esperado.

2.1.1. Esquema de certificación

En primer lugar, hay que decir que no existe un esquema “oficial” de certificación en ISO/IEC 20000-1; ya que ISO, como organización, no emite certificados de cumplimiento de las normas que publica y mantiene.

La certificación de cumplimiento de una norma internacional como ISO/IEC 20000-1 la proporcionan las Entidades de Certificación; estas entidades, a su vez, son acreditadas por la Entidad de Acreditación de su ámbito nacional, acreditación otorgada de acuerdo a los requerimientos para las entidades de evaluación y certificación de sistemas de calidad recogidos en la norma EN ISO/IEC 17021.

Según ENAC (Entidad Nacional de Acreditación): “La acreditación es la herramienta establecida a escala internacional para generar confianza sobre la actuación de un tipo de organizaciones muy determinado que se denominan de manera general Organismos de


Evaluación de la Conformidad y que abarca a los Laboratorios de ensayo, Laboratorios de Calibración, Entidades de Inspección, Entidades de certificación y Verificadores Ambientales”.

Tabla 1. Ejemplos de Entidades de Acreditación y Certificación

Ejemplos de Entidades de Acreditación nacionales

Ejemplos de Entidades de Certificación acreditadas

ENAC: Entidad Nacional de Acreditación (España)

AENOR: Asociación Española de Normalización y Certificación, acreditada por ENAC

UKAS: United Kingdom Accreditation Service (Reino Unido)

BSI: Bristish Standards Institution, acreditada por UKAS

2.1.1.1. Esquema de Certificación ISO/IEC 20000 de itSMF UK

Uno de los esquemas de certificación ISO/IEC 20000-1 más aceptados a nivel internacional es el esquema del itSMF UK, (IT Service Management Forum United Kingdom) el Foro de Gestión de Servicios de TI de Reino Unido.

Las Entidades de Certificación que lo desean, pueden solicitar su registro en el esquema de certificación de itSMF UK (dichas entidades deberán haber sido previamente acreditadas por su Entidad de Acreditación nacional). Una vez itSMF UK aprueba dicho registro, pasan a ser RCB (Registered Certification Body).

Es importante decidir qué esquema de certificación vamos a seguir, e involucrar a la entidad elegida para la certificación, antes de empezar con la evaluación e implementación de las mejoras necesarias para certificarse en la norma.

2.1.2. Esquema de cualificación

De la misma manera que existen distintos esquemas para la certificación de una organización en ISO/IEC 20000-1, existen distintos esquemas de cualificación en ISO/IEC 20000 para individuos.

Un Proveedor de Formación Acreditado (ACP en sus siglas inglesas) es una organización acreditada por el propietario del esquema de cualificación correspondiente, para proporcionar formación acorde a su esquema.

La formación en ISO/IEC 20000 suele estar orientada hacia uno de los tres perfiles siguientes.


- Consultor: cualificado para ayudar a los proveedores de servicios a implementar la norma con vistas a una potencial certificación.

- Auditor: cualificado para evaluar el adecuado cumplimiento de los requisitos de la norma por parte de un proveedor de servicios.

- Formador: cualificado para formar a consultores y auditores de ISO/IEC 20000.

2.1.2.1. Esquema de Cualificación ISO/IEC 20000 de itSMF UK

De nuevo, uno de los esquemas de cualificación en ISO/IEC 20000-1 más aceptados a nivel internacional es el esquema del itSMF UK.

El esquema de cualificación de itSMF UK proporciona dos tipos de certificación personal en la norma:

- ISO/IEC Consultant Certificate

- ISO/IEC Auditor Certificate

2.1.3. Preparación para la certificación

Una vez un proveedor de servicios ha tomado la decisión de intentar obtener la certificación en ISO/IEC 20000-1, debería seguir los siguientes pasos:


Figura 1. Preparación para la certificación

Elegir un esquema de certificación

Elegir una entidad certificadora

Confirmar el ámbito de la certificación

Realizar una evaluación inicial del SGSTI

Crear un Plan de Mejora del Servicio

Realizar revisiones periódicas

Planificar la auditoría formal

- Elegir un esquema de certificación, en base a la aceptación de dicho esquema en el entorno del proveedor de servicios.

- Elegir una Entidad de Certificación, a la que conviene involucrar desde el principio, empezando por contar con la misma para la elección del ámbito de la certificación.

- Confirmar el ámbito de la certificación (ver capítulo 3 de la guía “Guía de Aproximación Incremental a ISO/IEC 20000”).

- Hacer una evaluación inicial de la situación del SGSTI a certificar para determinar las mejoras necesarias para la obtención de la certificación (es recomendable contar con la ayuda de un consultor).

- Crear (si no existe ya) un Plan de Mejora del Servicio e introducir en el mismo las mejoras a implementar.


- Realizar revisiones periódicas del progreso hacia la certificación (es recomendable contar con la ayuda de un auditor).

- Planificar la auditoría formal.

2.2. IMPLEMENTACIÓN DE LA NORMA

Esta sección se centra en cómo un proveedor de servicios debería plantearse la implementación en sí de las mejoras necesarias para cumplir con los requerimientos de ISO/IEC 20000-1.

Implicaciones

En primer lugar, es importante entender las implicaciones que acometer un proyecto de este tipo tiene para todos los participantes en el mismo.

Para ello, el proveedor de servicios debería empezar por obtener la documentación relacionada (ISO/IEC 20000 Parte 1 y Parte 2, libros ITIL, etc.) y analizar su contenido para entender las implicaciones que tendrá, no sólo en su organización, sino también en la organización a la que provee servicios.

Normalmente, el proveedor de servicios necesitará ayuda para realizar este análisis, y aquí es donde puede ser de gran ayuda la colaboración de consultores o incluso consultar con organizaciones similares que ya hayan pasado por esta experiencia.

Compromiso de la alta dirección

Una vez entendidas las implicaciones y evaluado qué acciones debería realizar el proveedor de servicios para obtener la certificación, y antes de empezar a elaborar un plan, se debe obtener el compromiso de la alta dirección.

Cuando se habla de implementar ISO/IEC 20000, se habla de cambios que van a afectar, entre otras cosas, a la propia organización. Para poder impulsar adecuadamente estos cambios se va a necesitar todo el apoyo de la alta dirección.

Visión, objetivos, plan

Finalmente, se necesita establecer qué es lo que se quiere conseguir, desde el punto de vista de los beneficios para nuestra organización.

Así, se recomienda establecer una visión para el proveedor de servicios, alineada con los objetivos de alto nivel del negocio; es decir, qué papel juega el proveedor de servicios en la consecución de los objetivos de negocio.

Una vez acordada la visión, y basándose en la situación actual, se deben acordar los objetivos concretos (medibles) a conseguir y desarrollar un plan para hacerlo. La certificación en ISO/IEC 20000-1 es en este caso, más que un objetivo en sí misma, una


verificación de que se han realizado los pasos correctos para conseguir los objetivos propuestos.

En este punto, el método de adopción de mejores prácticas descrito en el capítulo 5.2 de la guía “Guía de Aproximación Incremental a ISO/IEC 20000”, puede ser de gran ayuda para asegurar el alineamiento de los objetivos del proveedor de servicios de TI con los del negocio.

2.2.1. Generar evidencias: documentos y registros

Durante la implementación de la norma se debe tener en cuenta que, en la auditoría de certificación se va a solicitar evidencias de que se cumplen los requerimientos de la misma.

Entre las evidencias que se pueden mostrar a un auditor, las más comunes son los documentos y los registros.

2.2.1.1. Documentos

En los documentos se dice lo que se va a hacer, por adelantado. Indican intención, y proporcionan el marco de cómo se va a realizar el trabajo.

Ejemplos de documentos de un SGSTI son:

- La definición del proceso de gestión de problemas.

- La descripción de roles y responsabilidades.

2.2.1.2. Registros

Los registros son la prueba de lo que se ha hecho, y pueden estar en diferentes tipos de repositorios, con diferentes formatos y estilos.

Ejemplos de registros en un SGSTI son:

- El registro de una incidencia.

- El acta de una reunión del comité de cambios.

2.2.2. Plan de Mejora del Servicio

Una de las herramientas más útiles para la adopción de mejores prácticas es el plan de mejora del servicio. Se recomienda crear y gestionar un plan de mejora del servicio desde el principio del proyecto de implementación de la norma.

Este plan debería ser el resultado de:

- Las mejoras identificadas durante la fase de análisis de la situación actual.


- La priorización de estas mejoras y el acuerdo de acciones para implementarlas.

- La planificación de las acciones acordadas de acuerdo a los plazos, recursos, etc.

- La inclusión de acciones de mejora identificadas durante la fase de proyecto.

Disponer de este plan, debidamente gestionado, nos ayudará, una vez finalizada la fase de implementación, a cumplir con los requerimientos de mejora continua de la norma y a renovar la certificación ISO/IEC 20000-1 periódicamente.

2.2.3. Gestión del cambio organizacional

Una de las causas que con mayor frecuencia hacen fracasar los proyectos de adopción de mejores prácticas es no gestionar el cambio organizacional asociado adecuadamente. La resistencia al cambio de los participantes en el proyecto -ya sea directamente involucrados, afectados o con influencia sobre el mismo- es una de las razones principales del fracaso.

Certificarse en ISO/IEC 20000-1 significa demostrar que la organización ha asumido las mejores prácticas implementadas, es decir, que ha cambiado la forma de trabajar; durante la auditoría de certificación, las entrevistas personales y comprobaciones in situ se realizarán con el objetivo de comprobar este extremo.

Por esta razón, identificar la resistencia de los participantes al cambio, entenderla y eliminarla o mitigarla deberían formar parte de las tareas más importantes de este tipo de proyectos.

2.2.3.1. Tipos de participantes

A la hora de identificar los participantes en el proyecto, conviene clasificarlos según su nivel de influencia en la organización y el tipo de participación en el proyecto.

- Por el nivel de influencia se puede clasificar a los participantes en:

• Organización: es la iniciadora del cambio y, por lo tanto, no suele ser fuente de resistencia al mismo; en todo caso, puede necesitar atención en el área del patrocinio.

• Equipo: su principal interés es contribuir al objetivo de la organización, pero también hay que considerar el interés particular en cómo le va a afectar el cambio.

• Individuo: a nivel individual, el principal interés es el particular, siendo la mayor preocupación cómo le va a afectar el cambio; es en el nivel individual donde hay más riesgo y donde hay que poner la mayor atención, ya que, aunque su influencia sea menor, puede impactar negativamente a nivel de equipo (tampoco hay que desdeñar la influencia que algunos individuos pueden ejercer en la organización).


- Por el tipo de participación, se pueden clasificar en:

• Patrocinador: son los iniciadores del cambio y los que hacen que se produzca, normalmente se trata de la alta dirección.

• Impulsor: son los que se encargan de realizar las acciones necesarias para que se produzca el cambio, suelen estar en los niveles medio y alto de dirección.

• Objetivo: son los receptores del cambio, los que deben interiorizarlo para que realmente se produzca; es en este tipo de participantes donde encontraremos la principal fuente de resistencia al cambio.

2.3. CERTIFICACIÓN: VALIDEZ Y RENOVACIÓN

Como se ha indicado previamente, la certificación formal en la norma ISO/IEC 20000-1 se consigue por medio de una auditoría, que deberá ser realizada por una entidad independiente de certificación acreditada por la entidad de acreditación nacional correspondiente (en el caso del esquema de certificación de itSMF UK, la entidad deberá estar registrada para tal fin en este organismo).

La certificación, siguiendo el espíritu de mejora continua de la norma, debe ser renovada periódicamente.

2.3.1. Auditoría formal de certificación

Una vez que el proveedor de servicios está preparado para la certificación, debe ponerse en contacto con la entidad de certificación elegida y llegar a un acuerdo con la misma para realizar la auditoría formal.

Dependiendo del nivel de adopción de las mejores prácticas por parte del proveedor de servicios, puede ser interesante realizar una auditoría informal previa -idealmente, realizada por la misma entidad de certificación que se va a encargar de la auditoría formal- para identificar posibles acciones correctivas, de antemano, que faciliten la posterior certificación.


Típicamente, la auditoría formal de certificación comprende las siguientes fases:

Figura 2. Fases de una auditoría formal de certificación

Revisión previa

Acuerdo de fechas, horarios, personas de contacto, etc.

Evaluación de documentación del SGSTI

Auditoría in situ

Presentación de los resultados

Incumplimiento

Observación

- Revisión previa para comprobar si el proveedor de servicios está preparado para la certificación.

- Acordar fechas, horarios, personas de contacto, ubicaciones, etc.

- Evaluación de la documentación del SGSTI, solicitada por los auditores y proporcionada por el proveedor de servicios.

- Auditoría in situ, incluyendo entrevistas con los actores de los procesos auditados y comprobaciones de la conformidad con la norma.

• Durante la auditoría, es responsabilidad del proveedor de servicios proporcionar las evidencias (documentos, registros) solicitadas por los auditores.

- Presentación de los resultados de la auditoría, entre los que los más relevantes son:

• Incumplimiento: requerimiento de la norma que no ha cubierto el proveedor de servicios (un “debe” no realizado); un incumplimiento significa la no consecución del certificado.


• Observación: aspecto que, bajo la consideración de los auditores y basándose en la parte 2 de la norma, el proveedor de servicios podría mejorar; no supone un incumplimiento, por lo que no afecta a la consecución del certificado.

En el caso de que se haya detectado algún incumplimiento, y dependiendo del número y gravedad de los mismos, normalmente la entidad de certificación concede al proveedor de servicios un plazo para subsanarlos y completar la certificación.

Si durante la auditoría no se ha detectado ningún incumplimiento, o el proveedor de servicios ha corregido los detectados en el plazo señalado, la entidad de certificación concede el certificado correspondiente al proveedor de servicios.

2.3.2. Validez y renovación

El certificado de cumplimiento de la norma ISO/IEC 20000-1 tiene una validez de tres años.

Por otro lado, la norma exige auditorías internas de vigilancia periódicas (como mínimo, anuales) para, por un lado, verificar que el SGSTI continúa cumpliendo con los requerimientos de la norma y, por otro, monitorizar la mejora continua.

Las auditorías de vigilancia pueden ser realizadas por la propia entidad de certificación que concedió el certificado inicial. La mayoría de estas entidades proponen realizar estas auditorías semestralmente.

La siguiente figura muestra un ciclo típico de certificación y renovación, destacando las actividades en las que el proveedor de servicio colabora con la entidad de certificación.


Figura 3. Ciclo típico de certificación y renovación

Preparación

Ámbito aplicación

Acciones correctivas

Acciones correctivas

Certificado ISO/IEC 20000 -1

Revisión previa

Pre-auditoría

Auditoría vigilancia


3. ISO/IEC 20000 E ITIL V2

ISO/IEC 20000 e ITIL v2 comparten origen, vinculadas como están a través de la norma británica, publicada en el año 2000, BS 15000 (ver secciones 2.1 y 2.3 de la guía “Guía de Aproximación Incremental a ISO/IEC 20000”).

Por esta razón, no es difícil encontrar similitudes entre ambas, aunque no hay que olvidar la diferencia entre norma (ISO/IEC 20000) y mejores prácticas (ITIL). Por otro lado, ISO/IEC 20000 aporta ciertos elementos de la gestión de servicios que no están presentes en ITIL v2, y que han influido en la nueva versión de la librería: ITIL v3.

3.1. DIFERENCIA ENTRE NORMA Y MEJORES PRÁCTICAS

Al hablar tanto de ITIL (y otras mejores prácticas adoptadas por el mercado) como de ISO/IEC 20000 (y otras normas elaboradas por los organismos normalizadores), se suele utilizar el término “estándar”. Sin embargo, así como en el caso de la norma se puede aplicar en su sentido más amplio (de iure), en el caso de la librería de mejores prácticas conviene matizar que el término se aplica en su sentido de recomendaciones generalmente aceptadas (de facto).

3.1.1.1. Norma

Según AENOR, “Una norma es un documento de aplicación voluntaria que contiene especificaciones técnicas basadas en los resultados de la experiencia y del desarrollo tecnológico. Las normas son el fruto del consenso entre todas las partes interesadas e involucradas en la actividad objeto de la misma. Además, debe aprobarse por un Organismo de Normalización reconocido.”

En esta definición, las palabras clave que distinguen a la norma son:

- Especificaciones: las normas recogen requerimientos, claramente especificados respecto a los cuales se puede comprobar si una organización cumple con ellos.

- Consenso: en la elaboración de las normas participan los distintos sectores involucrados en las mismas.

- Aprobación: una norma no adquiere tal rango hasta que no ha sido aprobada por un organismo normalizador.

De acuerdo a estas características, y este es un aspecto fundamental de las normas, se puede reclamar (y certificar) la conformidad con una norma.


3.1.1.2. Mejores prácticas

No hay un consenso claro sobre lo que significa mejores prácticas. En el sentido que se le da en la gestión de servicios, se podría decir que mejores prácticas son aquellas técnicas o métodos que han demostrado ofrecer resultados más eficientes y efectivos que el resto de técnicas o métodos, a la hora de aplicarse a un determinado ámbito.

Así, las mejores prácticas se distinguen por:

- Ser métodos o técnicas: las mejores prácticas no hablan de requerimientos, sino de recomendaciones cuya adaptación depende en gran medida de las circunstancias de la organización en concreto; para facilitar esta adaptación, suelen incluir ejemplos, consejos y guías para su implementación.

- Buscar la eficiencia y la eficacia: el objetivo de implementar mejores prácticas es hacer el trabajo más eficiente (usando menos recursos) y más efectivo (obteniendo mejores resultados).

- Ser publicadas a título particular por los organismos que las recogen y elaboran; de hecho, existen distintas mejores prácticas, que más o menos se solapan, “compitiendo” en el ámbito de los SGSTI (ITIL, CMMI, eTOM, CobIT, etc).

Como conclusión, y principal diferencia de las mejores prácticas con respecto a las normas, no se puede hablar de “conformidad” con unas mejores prácticas; en todo caso, hablaremos de alineamiento con sus recomendaciones.

3.2. APORTACIONES DE ISO/IEC 20000 A ITIL

Hemos hablado del alineamiento que existe, por sus orígenes, entre ISO/IEC 20000 e ITIL v2, así como de las diferencias que existen entre ellos (ver sección 5.1.2 de la guía “Guía de Aproximación Incremental a ISO/IEC 20000”).

Pues bien, de las diferencias entre ambas, las que se pueden identificar como principales aportaciones de la norma a la evolución de la librería de mejores prácticas son:

- Existe una sección dedicada a los requerimientos de un SGSTI: es una sección principal, que extiende sus implicaciones al resto de las cláusulas de la norma.

- La planificación e implementación de la gestión del servicio se basa en el ciclo PDCA: aplica el ciclo PDCA como motor, tanto de la implementación del SGSTI como de la mejora continua del mismo.

Siguiendo esta línea, ITIL v3 incluye las siguientes diferencias con respecto a ITIL v2:

- Se centra en el valor que TI aporta al negocio, mostrándolo como una unidad estratégica, e introduciendo la forma de integrar sus tres “P” (procesos, personas y productos) con la estrategia del negocio.


• En la versión 2 esta integración no era explícita, dando por hecho que los objetivos de TI estaban ya alineados con el negocio.

- Está estructurado de acuerdo al ciclo de vida del servicio.

• La versión 2 está estructurada en torno a los procesos en sí.

- Amplía el ámbito de la mejora continua, introduciendo un nuevo libro que aglutina los conceptos de mejora continua, introduciendo el proceso de mejora en siete pasos (The 7-step improvement process).

• La versión 2 tiene los conceptos de mejora continua “distribuidos” entre los distintos libros.


4. RELACIÓN ENTRE ITIL Y CMMI

El último capítulo de esta guía se dedica a recoger la relación entre dos de los modelos de mejores prácticas en la gestión de servicios de TI más extendidos y aceptados por el mercado:

- ITIL (Information Technology Infrastructure Library): librería de mejores prácticas enfocadas al sistema de gestión de la operación de los servicios de TI; elaborado e impulsado por la Oficina de Comercio del Gobierno británico (OGC en sus siglas inglesas).

- CMMI (Capability Maturity Model Integration): modelo de mejores prácticas enfocadas, principalmente, al sistema de gestión del desarrollo de aplicaciones en TI; elaborado por el Software Engineering Institute (SEI), resultado del proyecto de integración de los tres modelos de madurez más representativos en el área del desarrollo software.

Ambos modelos comparten la misma filosofía en su origen, partiendo del objetivo de mejorar continuamente los servicios ofrecidos por TI, en concreto en lo referente a:

- Dimensiones de mejora: ambos modelos coinciden en señalar que todo SGSTI tiene como pilares las llamadas “3 P” (personas, procesos y productos), y que es en estos aspectos donde se deben centrar las acciones de mejora.

- Modelo de madurez: aunque con distinta denominación y con algunas diferencias en las características de cada uno, ambos modelos proponen un modelo de madurez en niveles para evaluar hasta que punto una organización ha implementado las mejores prácticas propuestas.

- Mejora continua: en el centro de ambos conjuntos de recomendaciones está el espíritu de mejorar continuamente, tanto los servicios ofrecidos como el sistema de gestión para ofrecerlos.

4.1. ÁMBITOS DE APLICACIÓN

Para entender la relación entre ITIL y CMMI hay que conocer primero los ámbitos de aplicación de ambas librerías, dentro del entorno de las TI.

4.1.1.1. ITIL

En su versión 2, la que dio origen al estándar británico BS15000, ITIL se centraba en dos grandes áreas de la operación de los servicios: el soporte a los servicios y la provisión de los servicios.

Así, ITIL v2 aplica a aquellas actividades de un SGSTI que comienzan con la entrega de un nuevo servicio o de los cambios realizados a un servicio ya existente; entre sus


recomendaciones no están contempladas las actividades necesarias para crear o modificar dicho servicio.

Con la publicación de la versión 3, ITIL ha ampliado su ámbito de aplicación (como hemos dicho antes, en parte por la influencia de ISO/IEC 20000), estructurando sus recomendaciones en base al ciclo de vida del servicio:

Figura 4. Ciclo de vida del servicio ITIL

ITIL

Estrategia

de servicio

Diseño de servicio

Mejora continua de servicio

- Estrategia del servicio: recomendaciones para establecer una estrategia en la gestión de servicios, y convertir el SGSTI en un valor estratégico para el negocio.

- Diseño del servicio: recomendaciones a la hora de diseñar un servicio para asegurar el cumplimiento de los requerimientos del cliente, la calidad en la entrega del servicio, y la eficiencia en el soporte del mismo.

- Transición del servicio: recomendaciones para la entrega y paso a producción de un nuevo servicio o cambios en los existentes.

- Operación del servicio: recomendaciones para llevar a cabo eficientemente las actividades diarias de operación -y soporte- de los servicios provistos.

- Mejora continua del servicio: recomendaciones para buscar continuamente formas de mejorar la eficiencia y eficacia, tanto de los servicios como del SGSTI.


4.1.1.2. CMMI

En su versión 1.1, CMMI es un modelo de mejora de la madurez de los procesos para el desarrollo de productos y servicios; incluye mejores prácticas para el desarrollo y mantenimiento, desde la concepción del mismo hasta su entrega y mantenimiento posterior.

A partir de la versión 1.2, el modelo cambia de nombre y pasa a llamarse CMMI for Development (CMMI-DEV), introduciendo el concepto de “constelaciones” en el entorno de los CMM, mostrando la intención de ampliar el ámbito de aplicación de dichos modelos. De hecho, el SEI ha publicado dos nuevos modelos de madurez desde entonces: CMMI for Acquisition y CMMI for Services.

En lo que respecta al ámbito de aplicación de cada una de las constelaciones:

- CMMI for Development: como hemos dicho, es la actualización de la versión 1.1 de CMMI, y su ámbito de aplicación sigue siendo las actividades relacionadas con la creación de un nuevo producto o servicio.

- CMMI for Acquisition: este modelo aplica a las actividades relacionadas con la adquisición de un nuevo producto o servicio, en contraposición al desarrollo del mismo, por parte del proveedor de servicios de TI.

- CMMI for Services: cubre las actividades necesarias para el establecimiento, gestión y entrega de los servicios (en este sentido, entra de lleno en el área “tradicional” de ITIL).

4.2. PUNTOS DE CONTACTO

Aunque en el punto anterior hemos visto cómo los ámbitos de aplicación de los modelos de mejores prácticas de ITIL y CMMI parecen solaparse cada vez más, en la práctica, cuando una organización se plantea adoptar mejores prácticas, suele decantarse por el modelo CMMI si el ámbito de aplicación es el entorno de desarrollo, y por el de ITIL si el ámbito de aplicación es el de provisión y soporte del servicio.

Por un lado, el libro ITIL de Diseño de Servicio no llega a entrar en el detalle que ofrece CMMI para los entornos de desarrollo, y por otro, el modelo CMMI for Services todavía no tiene la aceptación en el mercado que tiene ITIL.

Así, esta sección se centra en los puntos de contacto que podemos encontrar entre los procesos ITIL más relacionados con la operación del servicio -aquellos, por otro lado, comunes con los de la norma ISO/IEC 20000- y los procesos de CMMI for Development.

En este ámbito, los puntos de contacto principales que podemos encontrar son:

- Gestión de la entrega: este es el principal punto de contacto entre ambos mundos, es donde CMMI “entrega” el producto o servicio “terminado” e ITIL asume su operación, soporte y provisión.


- Gestión de la configuración: como parte de la entrega del nuevo producto o servicio, se incorporan nuevos elementos a la infraestructura del SGSTI; parte de estos elementos han sido gestionados hasta ese momento bajo el ámbito de CMMI y pasan a ser “propiedad” de los procesos ITIL.

- Gestión de problemas: una buena gestión de la entrega incluirá la transferencia del conocimiento adquirido durante la construcción de la solución para que pueda ser aprovechado por los procesos de soporte y provisión del servicio; de esta “transferencia” se encarga típicamente gestión de problemas.

- Gestión de proveedores: tanto en el ámbito de producción como en el de desarrollo, TI mantiene relaciones con proveedores externos; en muchos casos, dichos proveedores son comunes, por lo que conviene adoptar también una gestión común de los mismos.

- Gestión de relaciones con el negocio: aunque desde puntos de vista distintos, tanto el entorno de desarrollo como el de producción establece relaciones con el negocio; para poder establecer una correcta relación entre lo que solicita el negocio a TI y lo que finalmente éste entrega, CMMI e ITIL deben “entenderse”.

- Gestión de la seguridad: cualquier solución que se ponga en producción debe cumplir con los requerimientos de seguridad del SGSTI.


5. GLOSARIO

- Acreditación: procedimiento por medio del cual un organismo autorizado reconoce formalmente que un organismo o una persona es competente para efectuar tareas específicas.

- Auditoría: inspección y verificación formal para comprobar si se sigue un estándar o un conjunto de guías, que los registros son precisos o que se están cumpliendo los objetivos de eficiencia y eficacia. Una auditoría puede llevarse a cabo por grupos internos o externos a la organización.

- Calidad: capacidad de un producto, servicio o proceso de proporcionar el valor pretendido.

- Certificación: procedimiento por el cual se asegura que un producto, proceso, sistema o servicio se ajusta a las normas o lineamientos o recomendaciones de organismos dedicados a la normalización nacionales o internacionales.

- Configuración: término genérico usado para describir un grupo de ítems de configuración que funcionan de forma conjunta para entregar un servicio IT, o una parte reconocible de un servicio IT. La configuración se usa también para describir el establecimiento de parámetros de uno o más ítems de configuración.

- Disponibilidad: capacidad de un ítem de configuración o un servicio IT de realizar las funciones acordadas cuando se requiere. La disponibilidad se determina por la fiabilidad, capacidad de mantenimiento, capacidad de dar servicio, rendimiento y seguridad. La disponibilidad se calcula normalmente como un porcentaje. Este cálculo se basa con frecuencia en el tiempo de servicio acordado y el tiempo de inactividad.

- Estándar: es un requisito, regla o recomendación basada en principios probados y en la práctica. Representa un acuerdo de un grupo de profesionales oficialmente autorizados a nivel local, nacional o internacional.

- Estándar de facto: es aquel patrón o norma que se caracteriza por no haber sido consensuada ni legitimada por un organismo de estandarización al efecto. Por el contrario, se trata de una norma generalmente aceptada y ampliamente utilizada por iniciativa propia de un gran número de interesados.

- Estándar de iure: Un estándar de iure, comparado con el estándar de facto, es un estándar formal y legal acordado por algún organismo internacional de estandarización autorizado.

- Gestión de la calidad: actividades coordinadas para dirigir y controlar una organización con respecto a la calidad. Dirigir y controlar una organización en relación a la calidad incluye generalmente el establecimiento de la política y los


objetivos de calidad, la planificación de la calidad, el control de la calidad, el aseguramiento de la calidad y la mejora de la calidad.

- Gestión de servicios: conjunto de capacidades organizacionales para proveer valor a los clientes en forma de servicios.

- Incidencia: cualquier evento que no es parte de la operación estándar de un servicio y que causa o puede causar una interrupción o una reducción en la calidad del servicio. Fallo de un ítem de configuración que no ha impactado todavía en un servicio.

- Mejores prácticas: método superior o práctica innovadora que contribuye a la mejora de rendimiento en una organización bajo un contexto dado, normalmente reconocido como el mejor por otras organizaciones similares.

- Servicio: un medio de entregar valor a los clientes facilitándoles los resultados que quieren conseguir sin que tengan la propiedad de costes y riesgos específicos.


6. ACRÓNIMOS

AENOR: Asociación Española de Normalización y Certificación

BSI: British Standards Institution (Institución Británica de Normalización)

CMMI: Capability Maturity Model Integration (Modelo de madurez y capacidad integrado)

ENAC: Entidad Nacional de Acreditación

IEC: International Electrotechnical Commission (Comisión Electrotécnica Internacional)

ISO: International Organization for Standardization (Organización Internacional para la Normalización)

IT: Information Technology (Tecnologías de la Información)

ITIL: Information Technology Infrastructure Library (Biblioteca de Infraestructura de TI)

itSMF: IT Service Management Forum (Foro de la gestión de servicios de TI)

JTC: Joint Technical Committee (Comité técnico conjunto)

OGC: Office of Government Commerce (Oficina de Comercio del Gobierno)

PDCA: Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar)

RCB: Registered Certification Body (Cuerpo de certificación registrado)

SGSTI: Sistema de Gestión de Servicios de TI

TI: Tecnologías de la Información

TIC: Tecnologías de la Información y la Comunicación

TR: Technical Report (Informe Técnico)

UNE: Una Norma Española


7. REFERENCIAS

ISO/IEC 20000-1:2005 Information technology -- Service management -- Part 1: Specification. Edition: 1 | Stage: 90.92 | JTC 1/SC 7. ICS: 03.080.99; 35.020. Document available as of: 2005-12-14

ISO/IEC 20000-2:2005 Information technology -- Service management -- Part 2: Code of practice. Edition: 1 | Stage: 90.92 | JTC 1/SC 7. ICS: 03.080.99; 35.020. Document available as of: 2005-12-14

ISO/IEC TR 20000-3:2009 Information technology -- Service management -- Part 3: Guidance on scope definition and applicability of ISO/IEC 20000-1. Edition: 1 | Stage: 60.60 | JTC 1/SC 7. ICS: 03.080.99; 35.020. Document available as of: 2009-10-14

UNE-ISO/IEC 20000-1:2007 Tecnología de la Información. Gestión del servicio. Parte 1: Especificaciones.

UNE-ISO/IEC 20000-2:2007 Tecnología de la Información. Gestión del servicio. Parte 2: Código de buenas prácticas.

itSMF ISO/IEC 20000 Certification Scheme - Scoping Guidelines. Versión 0.4e. itSMF 2006

Jan van Bon itSMF ISO/IEC 20000 An Introduction. itSMF, 2007.

Mary Beth Chrissis, Mike Konrad, Sandy Shrum, CMMI Guidelines for Process Integration and Product Improvement, Addison Wesley, 2007.

ITIL® v3 Foundation for IT Service Management, 2008.

Sitio oficial de ENAC: http://www.enac.es

Sitio de ITIL® de la OGC http://www.ogc.gov.uk/guidance_itil.asp

Sitio oficial de ITIL® http://www.itil-officialsite.com/home/home.asp

Software Engineering Institute (www.sei.cmu.edu/)

http://www.enac.es/�

http://www.ogc.gov.uk/guidance_itil.asp�

http://www.itil-officialsite.com/home/home.asp�

http://www.sei.cmu.edu/�

Guia de Gestion de Servicios en Iso 20000

Documents

Transcript of Guia de Gestion de Servicios en Iso 20000